Mejores prácticas para el manejo de virus informáticos

21

Me doy cuenta de que esta pregunta puede ser bastante amplia (y espero que no sea una violación de las Preguntas frecuentes), pero me interesa saber cuántos de ustedes manejan una computadora infectada con Malware.

En una empresa pequeña a mediana (incluso, grandes empresas como New York Times ), adquirir malware parece una inevitabilidad. A pesar de poner controles y balances en el lugar (estaciones de trabajo actualizadas con parches de seguridad / java / flash, software antivirus actualizado, filtros de correo no deseado, etc.), los virus aún penetran a través de las grietas y algunos pueden ejecutarse.

Mi pregunta no es tanto sobre la prevención de virus, sino sobre lo que hace con esa estación de trabajo después de que se descubre que se ha comprometido. Obviamente, todos nos sentiremos más cómodos con la antigua postura de NIFO, sin embargo, muchos de nosotros estamos escasos de recursos y no tenemos tiempo para volver a crear imágenes de las máquinas, especialmente si los errores solo aparecen con "análisis a pedido" y no parecen haber ejecutado

Tengo curiosidad por lo que hacen los demás en mi situación una vez que se encuentra que una máquina está comprometida. ¿Es suficiente un "revertir al punto de restauración antiguo y el análisis bajo demanda en modo seguro", o ustedes siempre vuelven a crear imágenes de una máquina?

    
pregunta DKNUCKLES 01.02.2013 - 17:30
fuente

8 respuestas

30

Destruye desde la órbita. La única manera de asegurarse de que se haya ido una vez que se haya comprometido es eliminarlo por completo. Los puntos de control de restauración solo ayudan en problemas de configuración, un virus puede alterar las configuraciones anteriores o instalarse de tal manera que sobreviva a una restauración. Si solo es un adware, entonces la eliminación puede ser suficiente, pero los virus pueden ser muy astutos.

Podría ser posible deshacerse de él por completo, pero tomará más tiempo (días) que desarmarlo y reconstruirlo en la mayoría de los casos, especialmente si se mantienen copias de seguridad regulares.

Edit: Como Oleg tuvo la amabilidad de señalar. Si está volviendo a crear imágenes desde una partición oculta en la computadora, es posible que la imagen también se haya infectado. También es posible que la BIOS (u otro firmware en el hardware) se haya infectado en casos muy raros, en cuyo caso está buscando una gran pita para deshacerse de ella. Afortunadamente, el 99,99% (mi aproximación) del tiempo, aún no es residente de hardware.

    
respondido por el AJ Henderson 01.02.2013 - 17:36
fuente
18

Nuking es obligatorio. Dicho esto, no borro la vieja imagen; Guardo los archivos de datos en algún lugar, para ser resucitados después de la inspección debida. Por ejemplo, no destruyo los buzones; Los escaneo en busca de archivos adjuntos que parecen archivos ejecutables y, cuando se encuentran limpios, los vuelvo a poner en línea.

Para el sistema operativo base y todos sus binarios, limpiar la llama es la regla. De todos modos, es mucho más rápido simplemente reinstalar la máquina ...

    
respondido por el Thomas Pornin 01.02.2013 - 17:39
fuente
8

La supervisión para garantizar que el malware se haya eliminado por completo requiere más tiempo, esfuerzo y habilidad que volver a crear imágenes o reinstalar la máquina.

El antivirus es principalmente reactivo por diseño y detectará infecciones iniciales. El malware descargará nuevas variantes para anticiparse a la detección, por lo que no puede estar seguro de que AV eliminó todos los códigos incorrectos y reparó los cambios de configuración.

En teoría, los rootkits pueden controlar todo lo que ves (estilo Matrix), por lo que no puedes estar seguro de nada mientras ejecutas la máquina infectada. He visto rootkits que "ocultan" el tráfico de malware por lo que no es visible desde el mismo host.

Una solución es ejecutar un diff sin conexión y verificar los binarios y configuraciones modificados. Todavía tiene que administrar instantáneas regulares similares a una copia de seguridad. Pero entonces, ¿por qué no volver a crear imágenes y restaurar los datos respaldados?

    
respondido por el Cristian Dobre 01.02.2013 - 17:42
fuente
3

Depende del tipo de infección que esté tratando. Si su BIOS o firmware se modifican por un programa malicioso, la reinstalación puede no funcionar. Aunque es raro, es posible.

En mi experiencia, continúe con el manejo adecuado de los permisos restringiendo la mayoría de los usuarios al espacio del usuario, rechazando el montaje de la unidad USB o, al menos, deshabilitando la ejecución automática o la ejecución del código (solo con montaje). Tenga binarios seguros o fuentes de aplicaciones requeridas, como las que se encuentran en un repositorio central seguro, o convierta las máquinas y procesos críticos, si es posible, a un sistema operativo más seguro, como OpenBSD, que tiene mucha seguridad (mejores esquemas de permisos, grupos, más esquemas de registro flexibles, etc.) listos para usar.

Es importante tener en cuenta que cualquier máquina conectada a una red estará en riesgo. Realice copias de seguridad periódicas de los datos, evite los complementos inseguros del navegador como flash, java y silverlight / moonlight siempre que sea posible.

Capacitar al personal en los procesos adecuados. No confíes en los usuarios, pero déjalos hacer su trabajo.

Si las máquinas se infectan y tiene que volver a instalarlas, al menos tenga una instalación de arranque de red o PXE para reducir el tiempo de inactividad.

    
respondido por el NuclearPeon 01.02.2013 - 21:32
fuente
2

Como todos los demás han dicho, destruye esa cosa hasta la muerte. De esa manera no hay posibilidad de fracaso. Quiero decir, en teoría, un bootkit podría sobrevivir a una bomba nuclear, pero no veo que sea muy probable que un bootkit te haya infectado.

Lo único que quiero decir diferente es tener cuidado al almacenar cualquier información importante antes del golpe. Sube en línea, y no por usb. Cualquier tipo de malware malintencionado tendrá un separador USB que infectará cualquier unidad portátil que coloques en tu computadora. Entonces, no es bueno si destruyes la computadora y luego vuelves a instalar el virus por error. Así que por seguridad:

-Carga todos los archivos importantes en línea -Macke nuke -Durante la bomba nuclear, revise los servicios en línea importantes y cambie las contraseñas. Solo para estar seguros, si algún dato ha sido comprometido. -Muy bien ir

Puede pasar por su sistema y excavar en las trincheras durante una semana o dos para encontrar el malware e intentar eliminarlo por completo ... o pasar un día para ponerlo y reinstalarlo.

    
respondido por el y-naut 07.02.2013 - 15:34
fuente
0

Trabajo para la industria de la salud y nosotros administramos los registros de salud de las personas.

En el pasado, siempre me decían que volviera a crear una imagen cuando trabajaba para el gobierno, y aunque existen muchas razones, lo mejor que pensé fue que está 100% seguro de que la amenaza desaparece una vez que se vuelve a crear .

Creo que la verdadera pregunta es (sobre el clima para tratar de limpiar y volver a crear una imagen): ¿Está protegiendo la información de otras personas? Si sus registros financieros o de salud estuvieran en riesgo, ¿desearía que mi empresa se arriesgara y tratara de eliminarlo? ¿O prefiere mi empresa, que protege SU información y vuelve a crear imágenes de la máquina? Una forma es una garantía del 100% de que se irá, mientras que la otra manera es que te arriesgues ...

Nuevamente, si es la PC de tu hogar y estás decidiendo qué método utilizar, solo te comprometes. Pero, si se trata de una compañía en la que se confía la información de otras personas, ¿cómo se llama?

Estoy luchando esta pelea en este momento, y lo creas o no, estoy perdiendo. Necesito más datos para respaldar mi idea de volver a crear una imagen. Antes de este trabajo, trabajo para una agencia de inteligencia de 3 letras durante una década. Odio pensar que volvimos a crear MILES de máquinas, cuando todo lo que tuvimos que hacer fue limpiar el malware. Supongo que la forma en que los federales pensaron esto es que si hay vidas en juego, no corres riesgos.

La siguiente pregunta es: si sus datos personales están en juego, ¿cuánto riesgo está dispuesto a asumir? ¿La limpieza de malware es un riesgo aceptable en lugar de volver a generar imágenes cuando sus datos personales (pero no su vida) están en riesgo?

Gracias por escuchar (o leer).

David

    
respondido por el David Howard 11.03.2015 - 14:45
fuente
0

Me gustaría abordar la respuesta de Oleg V. Volkov:

Cuando se trata de empresas, y cuanto más grandes son más susceptibles, la limpieza tiene estos problemas:

  1. Lo más probable es que la tarea de limpieza quede relegada a personas de nivel 1, que pueden o no hacer la limpieza correctamente. Cualquier nivel 1 que re-imágenes eliminará la amenaza. Algunas personas de nivel 1 limpiarán correctamente, otras no.
  2. Buscas la amenaza en Google y encuentras una manera de limpiarla. El problema es que la mayoría de las personas que escriben malware no le dan un número de versión, ¿verdad? Lo que hemos visto, un malware común tenía una forma publicada de limpiarlo, e incluso una herramienta de eliminación. Sin embargo, desde la publicación, el autor del malware cambió su código, y la herramienta de eliminación ya no funciona, ya que parte del malware ahora se queda atrás después de limpiarlo y vuelve a descargar lo que se limpió.
  3. Dentro de una empresa, si observa lo que sucede, a veces los usuarios se enojan con varios intentos de limpiar su estación de trabajo. Aquí hay un ejemplo: a) El usuario está infectado, enviamos a alguien para que limpie sus máquinas, esto toma 30 minutos, donde el usuario solo va por un café largo. b) Al día siguiente, el malware ha regresado y, una vez más, enviamos a alguien en el equipo del piso para limpiarlo una vez más. El mismo ejercicio que el usuario sale para el almuerzo y cuando regresa, le decimos al usuario que todo está bien. c) Al día siguiente, después de haber intentado 2 veces limpiar la máquina de los usuarios, ahora le decimos que debemos tomar la máquina y volver a crearla (después de tomar una imagen forense).

RESUMEN

¿Qué mensaje envía esto a los usuarios? Para mí, creo que nos hace parecer que no sabemos lo que estamos haciendo, y el usuario es interrumpido varias veces, por lo que se queja de la pérdida de productividad de su jefe, etc. Si solo tomamos la máquina, desde el primer día, y luego se volvió a tomar la imagen, esa podría haber sido una mejor solución (el usuario obtiene una máquina de reemplazo de inmediato, el tiempo de inactividad es de menos de 30 minutos).

Entonces, aunque algunos programas maliciosos son simples, el SOP que desarrollas no siempre se adapta a todas las amenazas, y puede causar más trabajo y frustración para todos cuando intentas limpiar contra la imagen.

Solo mis pensamientos, eso es lo que he visto.

Dave

    
respondido por el David Howard 11.03.2015 - 15:01
fuente
-1

Comprueba con qué estás tratando exactamente. La mayoría de los antivirus ofrecen su nombre de una amenaza y puede consultar la descripción de la amenaza en línea. Si tienes un simple ladrón de cookies basado en JS / Flash que explota el agujero en la versión del navegador que estaba fuera de fecha hace un año, entonces obligar al usuario a reconfigurar todo solo por el bien del ritual de "seguridad del culto de la carga" es pura idiotez. Nuking solo es realmente necesario para la baja cantidad de amenazas que explotan niveles más profundos del sistema.

    
respondido por el Oleg V. Volkov 02.02.2013 - 02:09
fuente

Lea otras preguntas en las etiquetas